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(54) Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik 

(57) Die vorliegende Erfindung beschreibt ein Ver- 
fahren zum Online-Update sicherheitskritischer Soft- 
ware in der Eisenbahn-Signaltechnik und dient 
insbesondere dem Einbringen von Produktsoftware in 
Zielrechner von Aniagen. Das erfindungsgemaUe Ver- 
fahren basiert darauf dalJ jeder Teilnehmer einen 
offentlichen und einen geheimen Schlussel erhalt, von 
den Teilnehmern eine Zertifizierungsinstanz zur 
Beglaubigung der Zugehbrigkeit der Schlussel zu den 
Teilnehmern mit einem Zertifikat bestimmt wird, jeder 
Teilnehmer sein eigenes Schlusselzertifikat und das 
Zertifikat der Zertifizierungsinstanz erhalt, jeder an der 
Erstellung und Prufung der Produktsoftware beteiligte 
Teilnehmer die Produktsoftware und die bisherigen 
Unterschriften mit seinem geheimen Schlussel unter- 
schreibt und gemeinsam mit seinem eigenen Schlussel- 
zertifikat weiterleitet, die Zertifizierungsinstanz fur jeden 
Anwendungsfall eine Pruferliste erzeugt und signiert 
und die Produktsoftware zusammen mit einer verkette- 
ten Unterschriftenliste und der Liste der Schlusselzerti- 
fikate der Teilnehmer sowie der Pruferliste in den 
Zielrechner eingebracht und endgepruft wird. 
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Beschreibung 

[0001] Die vorliegende Erfindung betrifft ein Vertahren zum Online-Update sicherheitskritischer Software in der 
Eisenbalin-Signalteclinil< und dient insbesondere dem Einbringen von Produlctsoftware in Zielrecliner von Aniagen. 
5 [0002] Neue Eclitzeit-Betriebssysteme bieten weitreicliende Debugging- oder Software-Upgrade-Optionen, wali- 
rend das eigentliclie System lauft (sog. running target), urn eine liolie Verfugbarl<eit zu garantieren (sog. non-stop real- 
time systems). Im Prinzip sind diese Wartungsarbeiten aucli online, z. B. uber das Internet oder ahnliche offene Nez- 
werke mbglich, ohne dalJ ein Techniker vor Ort ist. Dies ist vor allem in hochgradig verteilten Systemen ein enormer 
Vorteil. 

10 [0003] Diese Vorteile moderner Echtzeit-Betriebssysteme und Computer-Netze sind bislang fur sicherheitskriti- 
sche Anwendungen in der Eisenbahn-Signaltechnik nicht nutzbar, da nicht garantiert werden kann, dalJ die einge- 
brachte Produkt-Software authentisch ist, d. h. von dem behaupteten Absender stammt und nicht manipuliert wurde 
und die Produkt-Software nach den geltenden Vorschriften gepruft ist. 

[0004] Unter dem Oberbegriff Produktsoftware wird hier sowohl Systemsoftware als auch Anwendersoftware oder 

15 Aniagen-Projektierungsdaten verstanden. 

[0005] Bekannt ist, die Produkt-Software nach Vorliegen (manuell unterschriebener) Prufberichte uber vorab in der 
Fertigung programmierte Speicherbaugruppen von Hand in das sicherheitskritische System einzubringen. Dieser Pro- 
zeUsoll mittels der beschriebenen Erfindung digitalisiert werden, d. h. die Produkt-Software wird von den Prufern digital 
signiert und uber ein offenes Netz in das sicherheitskritische System eingebracht. Der Zielrechner pruft die Signaturen 

20 automatisch auf Echtheit und Zulassigkeit. 

[0006] Weiterhin sind aus der EP 0 816 970 A2 ein Verfahren und eine Vorrichtung bekannt, mit welchen die 
Authentizitat von Firmware gepruft werden kann. Es wird gepruft, ob spezifische Signaturen zu Mikrokodierungen pas- 
sen. Nachteilig bei dieser Losung ist, dalJ der offentliche Schlussel in der Aniage fest installiert ist und keine Uberpru- 
fung der Prufberechtigungen erfblgt. 

25 [0007] Um die Authentizitat bei Ubertragung von Daten uber offene Netze zu gewahrleisten, ist seit langerem die 
Verwendung von kryptographischen Methoden bekannt. Hierbei ist sowohl eine symmetrische als auch eine asymme- 
trische Verschlusselung mbglich. 

[0008] Bei der asymmetrischen Verschlusselung existiert im Gegensatz zur symmetrischen Verschlusselung nicht 
nur ein einzelner Schlussel, der alien Partnern bekannt ist, sondern ein Schlusselpaar. Dieses Schlusselpaar besteht 
30 aus einem sogenannten offentlichen und einem privaten Schlussel, wobei der offentliche Schlussel fur jedermann 
zuganglich sein muU. 

[0009] Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum Online-Update sicherheitskritischer Software 
in der Eisenbahn-Signaltechnik zu schaffen, welches mit einfachen Mittein ein effektives Zusammenwirken mehrerer 
Teilnehmer bei der Erarbeitung und Prufung von Produktsoftware sowie ein sicheres Einbringen dieser Produktsoft- 
35 ware in die Zielrechner auch uber ungesicherte Kommunikationskanale ermbglicht. 

[0010] Diese Aufgabe wird erfindungsgemaU gelbst durch die Merkmale im kennzeichnenden Tell des Anspruches 
1 im Zusammenwirken mit den Merkmalen im Oberbegriff. ZweckmaUige Ausgestaltungen der Erfindung sind in den 
Unteranspruchen enthalten. 

[0011] Ein besonderer Vorteil der Erfindung besteht darin, daUeine sichere Erarbeitung, Ubertragung und Einspei- 
40 sung der Produktsoftware in einen Zielrechner unter Mitwirkung mehrerer Teilnehmer ermoglicht wird, indemjeder Teil- 
nehmer einen offentlichen und einen geheimen Schlussel erhalt, von den Teilnehmern eine Zertifizierungsinstanz zur 
Beglaubigung der Zugehbrigkeit der Schlussel zu den Teilnehmern mit einem Zertifikat bestimmt wird, jeder Teilnehmer 
sein eigenes Schlusselzertifikat und das Zertifikat der Zertifizierungsinstanz erhalt, jeder an der Erstellung und Prufung 
der Produktsoftware beteiligte Teilnehmer die Produktsoftware und die bisher geleisteten Unterschriften mit seinem 
45 geheimem Schlussel unterschreibt und gemeinsam mit seinem eigenen Schlusselzertifikat weiterleitet, die Zertifizie- 
rungsinstanz fur jeden Anwendungsfall eine Pruferliste erzeugt und signiert und die Produktsoftware zusammen mit 
einer verketteten Unterschriftenliste und der Liste der Schlusselzertifikate der Teilnehmer sowie der Pruferliste in den 
Zielrechner eingebracht und endgepruft wird. 

[0012] Ein weiterer Vorteil der Erfindung besteht darin, dalJ die Produktsoftware auch uber ungesicherte Kommu- 

50 nikationskanale ubertragen werden kann. 

[0013] GemalJ der vorliegenden Erfindung werden asymmetrische Verschlusselungsverfahren verwendet. Jeder 
Teilnehmer x verfugt uber zwei Schlussel, namlich einen offentlichen Schlussel Px und einen geheimen Schlussel Sx. 
Der geheime Schlussel ist durch geeignete organisatorische MaUnahmen (zum Beispiel Passwort, Speicherung auf 
Chipkarte etc.) vor MiUbrauch gesichert. 

55 [0014] Offentliche Schlussel sind in der Regel jedem Teilnehmer zuganglich, auf einen geheimen Schlussel darf 
nur ein Teilnehmer Zugriff haben. Mit seinem geheimen Schlussel kann der Teilnehmer Datensatze digital unterschrei- 
ben (Operation Sigx) oder mit seinem offentlichen Schlussel verschlusselte Datensatze entschlussein (Operation 
Decx). Jeder Teilnehmer, der im Besitz des zugehorigen offentlichen Schlussels ist, kann von x signierte, fur ihn 
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bestimmte Datensatze verifizieren (Operation Verx) oder x verschlusselte Nachrichten senden (Operation Encx). Das 
genaue asymmetrisclie Verfaliren istdabei egal, im Prinzip l<annjedesausdem Stand derTeclinil<bel<annte Verfaliren 
verwendet werden, 

[0015] Die Erfindung soil nachstehend anhand von zumindest teilweise in den Figuren dargestellten Ausfuhrungs- 
5 beispielen naher eriautert werden. 
[0016] Eszeigen: 

Fig. 1 eine schematische Darstellung des Zusammenwirkens von Teilnehmern mit einer Zulassungsbehbrde; 

10 Fig. 2 einen Programmablaufplan fur die Prufung der Produktsoftware 

[001 7] Wie in Figur 1 dargestellt, wird unter den Teilnehmern ein besonders vertrauenswurdiger Teilnehmer Z, die 
sogenannte Zertifizierungsinstanz, bestimmt. Als Zertifizierungsinstanz wird im vorliegenden Ausfuhrungsbeispiel eine 
Zulassungsbehbrde eingesetzt, in Deutschland fur die Eisenbahn-Signaltechnik z.B. das Eisenbahnbundesamt, oder 

15 eine andere vertrauenswurdige Instanz. Dieser Teilnehmer zertifiziert, d. h. beglaubigt, dalJ die Schlussel der einzelnen 
Teilnehmer wirklich zu den behaupteten Teilnehmern gehbren. Dazu unterschreibt Z digital furjeden Teilnehmer x des- 
sen bffentlichen Schlussel Px sowie ein Textfeld Tx, das Angaben zur Identitat des Teilnehmers, zur Gultigkeitsdauer 
des Zertifikats etc. enthalt. Das Zertifikat besteht also furjeden Teilnehmer aus Px, Tx sowie Sig2(Px, Tx). Die Zertifi- 
zierungsinstanz ubergibt zusatzlich jedem Teilnehmer ihr eigenes Zertifikat, das aus P^, T^ sowie Sigz(Pz, T^) besteht. 

20 [0018] Im weiteren wird nun ein konkreter Anwendungsfall betrachtet. 

[0019] Die Zulassungsbehbrde Z erzeugt furjeden Anwendungsfall eine Pruferliste L, in der vermerkt ist, welche 
Pruferwelche Produktsoftware und in welcher Prufer-Zusammensetzung prufen durfen. Diese Liste wird ebenfalls von 
der Zulassungsbehbrde signiert und zusammen mit dem Zertifikat Sigz(L) auf gesichertem Weg in den Zielrechner der 
Aniage eingebracht, also entweder zusammen mit der Produktsoftware oder als Projektierungsdatum. Zusatzlich sollte 

25 die Pruferliste auch an die beteiligten Prufer verteilt werden. Alternativ kann sie auch zusammen mit der Produkt-Soft- 
ware ubertragen werden. 

[0020] Jeder an der Erstellung und Prufung der Produktsoftware beteiligte Teilnehmer unterschreibt die Produkts- 
oftware S und die bisher geleisteten Unterschriften seiner Vorganger in der Prufhierarchie, d.h. der Ersteller E unter- 
schreibt die Produktsoftware S mit SigE(S), und sendet sie mit der Unterschrift und seinem Schlusselzertifikat P^ , T^ 
30 sowie Sig2(PE , T^) an den Prufer P der die Echtheit der Unterschrift pruft und nach positivem Prufergebnis die Pro- 
duktsoftware S und die letzte Unterschrift SigE(S) mit Sigp(S, SigE(S)) unterschreibt und mit seinem Schlusselzertifikat 
Pp , Tp sowie Sigz(Pp , Tp) sowie dem Schlusselzertifikat von E weiterleitet. Die Echtheit der Unterschriften wird durch 
jeden Prufer nach dem in Figur 2 angegebenen Schema gepruft. 

[0021] Dieses Prinzip kann sich noch einige Male wiederholen wie in Figur 2 dargestellt, je nachdem wieviele Teil- 
35 nehmer, d. h. Gutachter, Tester etc. beteiligtsind. Am Ende liegtdie Produktsoftware S zusammen mit einer verketteten 
Unterschriftenliste und der Liste der Schlusselzertifikate der Teilnehmer vor Dies wird zusammen mit der Pruferliste in 
den Zielrechner ubertragen. 

Beispiel: Prufplan L=(A, B, C, D, ... K) 

40 

[0022] 



SigA(S) SigeCS. SigA(S)) ... SigK(S, Sigj(S, Sig,(S....))) 



[0023] In jedem sicheren Rechner der Aniage (Zielrechner) muU neben einer Implementation der kryptographi- 
schen Funktionen der bffentliche Schlussel der Zulassungsbehbrde verfugbar sein. Bel Empfang eines neuen Soft- 
50 warestandes pruft der sichere Rechner die digitalen Unterschriften der Prufer, die zu diesem Softwarestand gehbren, 
sowie bei erfolgreicher Prufung die Berechtigung der Prufer anhand der Pruferliste. 

[0024] Falls die Produktsoftware uber ungesicherte Kommunikationskanale ubertragen werden soil oder verhindert 
werden soil, dalJ unbefugte Dritte Kenntnis der Produktsoftware eriangen, so muU die Produktsoftware zusatzlich ver- 
schlusselt werden, und zwarjeweils mit dem bffentlichen Schlussel des Kommunikationspartners. 

55 

Beispiel: 

[0025] Sendet E an P so wird statt der Produktsoftware S die verschlusselte Fassung Encp(S) gesendet. P ent- 
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schlusseltdiese mitseinem privaten Schlussel und verschlusseltsie mitdem offentlichen Schlussel des nachsten Kom- 
munikationspartners. In diesem Fall ist es auch notwendig, jedem Zielrechner ein Schlusselpaar zuzuweisen, da im 
letzten Schritt mit dem offentlichen Schlussel des Zielrechners zu verschlussein ist. 

[0026] Weiterhin sind organisatorische MaUnahmen notwendig, um sicherzustellen, dalJ die geheimen Schlussel 
5 der Prufer bzw. Zertifizierungsinstanz nicht unberechtigt eingesetzt werden kbnnen (entweder mit PaUwort verschlus- 
selte Speicherung auf PC oder Chipkarte) und dalJ Software nicht auf anderem Wege, d. h. unter Umgehung der skiz- 
zierten SicherheitsmaUnahmen auf den Zielrechner gebracht werden kann (Firewall-Funktionalitat). 

Patentanspriiche 

10 

1. Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik unter Mitwirkung 
mehrerer Teilnehmer und unter Nutzung kryptographischer Methoden und in digitalisierter Form vorliegender ver- 
schlusselter Datensatze, wobei 

15 - jeder Teilnehmer einen offentlichen und einen geheimen Schlussel erhalt, 

von den Teilnehmern eine Zertifizierungsinstanz zur Beglaubigung der Zugehbrigkeit der Schlussel zu den 
Teilnehmern miteinem Zertifikat bestimmt wird, 

jeder Teilnehmer sein eigenes Schlusselzertifikat und das Zertifikat der Zertifizierungsinstanz erhalt, 
jeder an der Erstellung und Prufung der Produktsoftware beteiligte Teilnehmer die Produktsoftware und die 
20 bisherigen Unterschriften mit seinem geheimen Schlussel unterschreibt und gemeinsam mit seinem eigenen 

Schlusselzertifikat weiterleitet, 

die Zertifizierungsinstanz fur jeden Anwendungsfall eine Pruferliste erzeugt und signiert und 

die Produktsoftware zusammen mit einer verketteten Unterschriftenliste und der Liste der Schlusselzertifikate 

der Teilnehmer sowie der Pruferliste in den Zielrechner eingebracht und endgepruft wird. 

25 

2. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

dalJ die geheimen Schlussel der Teilnehmer zum digitalen Unterschreiben von Datensatzen und bei Ubertragung 
der Produktsoftware uber ungesicherte Kommunikationskanale zum Entschlussein verwendet werden. 

30 

3. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

dalJ die offentlichen Schlussel der Teilnehmer zum Entschlussein verschlusselter Datensatze oder zum Verifizieren 
signierter Datensatze und bei Ubertragung der Produktsoftware uber ungesicherte Kommunikationskanale zum 
35 Verschlussein mit dem offentlichen Schlussel des nachsten Kommunikationspartners verwendet werden. 

4. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

dalJ die Zertifizierungsinstanz zur Erstellung der Zertifikate fur jeden Teilnehmer dessen offentlichen Schlussel 
40 sowie ein Textfeld mit Angaben zur Identitat und Gultigkeitsdauer des Zertifikates unterschreibt. 

5. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

dalJ in der Pruferliste vermerkt ist, welcher Teilnehmer welche Produktsoflware und in welcher Zusammensetzung 
45 mit anderen Teilnehmern prufen darf. 

6. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

dalJ im Zielrechner neben einer Implementation der kryptographischen Funktionen der offentliche Schlussel der 
50 Zertifizierungsinstanz verfugbar ist. 

7. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

dalJ der Zielrechner bei der Endprufung die digitalen Unterschriften der Teilnehmer sowie die Berechtigung der 
55 Teilnehmer anhand der Pruferliste pruft. 

8. Verfahren nach einem der Anspruche 1 bis 3, 
dadurch gekennzeichnet 
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dalJ bei Ubertragung der Produktsoftware uber ungesicherte Kommunikationswege jedem Zielrechner ein Schlus- 
selpaar zugewiesen wird. 
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Schritt 0; Z outorisiert die Teilnehraer 



3) Zulassungsbehbrde Z 
outorisiert Schlijssel und 
Zertifikat durch Unterschrift 



2)sendetP,anZ 



1) Jeder Teilnehmer x erzeugt 
Schlijssel: f^.Sx 



4) sendet Px . Tx , SiQz (Px . Tx ) on x 



Schritt 1: Z verteilt die 
autorisierte Priifliste 



Zulassungsbehbrde 
Schlijssel: P, ,S, 



Ersteller E 
Schlijssel: P^.Sg.P^ 



j^Sig^CU-^ 1 '^L.SigZUJ 
L.SigZttJ 



Priifer P 
Schlijssel: P,, 



Zielrechner 
Schlijssel: P2 



Priifer n 



Schritt 2: Jeder Prufer 
f iihrt folgende Scbritte 



—11 erhiilt SW, Unter — » 
schriften und Zerti- 
fikate der Vorgdnger 



2) Priifi Unti 
(und ggf. Zulossung 
der Priifer) 

3) Priif t SW 

4) Unterschreibt noch 
erfoireicher Priif un^ 
und fiigt Unterschrift 
und Zertifikat an 



SWS 
Sigi{S)...Sign(S....) 
Pl.TvSig^(Pl.Ti) 

Pn.VSig K\ ^ 

Schritt 3: Priifung im 
Zielrechner 

1) Erhiilt SW.Unter:=. 

schriften und Zer- 
tif ikate aller Priifer 



Zielrechner 

2)Prijft Unterschriften 
und Zulossung der 
Priifer 



-9 Sendet SW. Unter--^ 
schriften und Zerti- 
fikat* an Nochfolger 

SW S 
Sights) ...Sign{S....) 
Sig„,-,(Sig,(S.J) 
PvTi .Sig^(Pi.Ti) 

Pn'^n-Sig^lP^J,) 
Pn^.Tn,i.Sig,lP,,iJn.i) 
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Fiirjede Unterschrift 



X 



P r od u kt-SW. Pruferliste. / 
terschriften.Zertifikote/ 



Prijfe zugehbriges Zertifikat 




Prufe 2ugeh6rige 
Unterschrift der 
Produkt-SW 




Prijfe Ubereinstimmung 
der Pruferliste mit der 
Unterschriftenliste 




C 



Ubereinstimmung 

Freigabe der Produkt- 
SW zum Einsatz 



Fig,2 
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